| 安全组 | NACL(网络访问控制列表) |
|---|---|
| 安全组只支持允许规则,默认情况下,所有规则都被拒绝。不能拒绝建立连接的规则。 | NACL同时支持允许和拒绝规则,默认情况下,所有规则都被拒绝。需要添加可以允许或拒绝的规则。 |
| 安全组是一种有状态的手段,入站规则中所做的任何更改都将自动反映在出站规则中。例如,如果允许传入端口 80,那么还必须显式添加出站规则。 | NACL是无状态的,即对入站规则所做的任何更改都不会反映出站规则,即需要单独添加出站规则。例如,如果添加入站规则端口号 80,那么还必须显式添加出站规则。 |
| 安全组与一个 EC2 实例相关联。 | NACL与子网相关联。 |
| 在决定是否允许流量之前评估所有规则。 | 规则是按顺序评估的,从最小的数字开始。 |
| 仅当在启动实例时指定安全组时,才会将安全组应用于实例。 | NACL已自动应用于与实例关联的所有实例。 |
| 安全组是第一层防御。 | NACL是第二层防御。 |
36、安全组和网络访问控制列表的区别?
